雖說干的是信息化智能化的行當,但每個IT工程師都必定踩過“IT系統(tǒng)不智能”的坑。就拿企業(yè)組建局域網(wǎng)來說,為了對網(wǎng)絡接入用戶身份進行確認,確保用戶權限不受辦公地點變更的影響,許多IT工程師都習慣開啟 “手動模式”和苦逼的“加班模式”。其實,企業(yè)組建局域網(wǎng)的配置也是有“套路”的。IT新人也能現(xiàn)學現(xiàn)用,輕松幾步,教你飛速提高企業(yè)網(wǎng)絡準入的安全性。對于企業(yè)IT工程師來說,什么樣的企業(yè)網(wǎng)絡是我們需要的呢,是快捷,還是安全,讓我們來想象一下。員工入職即生成個人賬戶,一套賬戶“走遍天下”,包含接入網(wǎng)絡,OA,內網(wǎng),ERP,甚至打印和復印等;支持多個終端,在手機、筆記本、臺式機上登錄,不論在公司什么位置,你有擁有相同的網(wǎng)絡權限;員工調崗或者更換部門,僅需再組織架構中進行調整,這個“新”員工自動獲取新部門的網(wǎng)絡權限;員工離職,僅需要將賬號“一鍵禁用”。好了,所有的權限都關了,“蒼蠅”你都別想飛進來。有句話說“理想很豐滿,現(xiàn)實很骨干‘’,但是我在這里想說,這都不是夢,資深IT來告訴你理想的實現(xiàn)方法。? 架構圖基于802.1x協(xié)議,實現(xiàn)端口訪問控制和認證;搭建Windows Server系統(tǒng)環(huán)境,實現(xiàn)AD+DHCP+DNS,這部分搭建網(wǎng)上大把大把的教程,這部分忽略不在進行贅述;NPS,用戶認證管理管理;選擇支持802.1x協(xié)議認證網(wǎng)絡設備,實現(xiàn)動態(tài)VLAN實現(xiàn)獲得各終端網(wǎng)絡登錄具有各自網(wǎng)絡權限。組網(wǎng)環(huán)境Cisco網(wǎng)絡設備?客戶端網(wǎng)絡?重點1:調整用戶所在安全組后,如何繼承了劃分VLAN的網(wǎng)絡權限??答:在核心網(wǎng)絡交換機中把劃分的VLAN一定要對應到用戶所在安全組,如上圖。本文主要介紹關鍵配置:有線網(wǎng)絡設備上開啟802.1X認證和認證服務器NPS的配置,其他搭建過程請參照文章底部附錄。1.接入交換機開啟802.1x認證,以Cisco 2960為例第一步:進入配置模式開啟802.1x認證、指定radius-serveraaa new-model! 啟用 aaaaaa authentication dot1x default group radius! dot1x使用radius做認證aaa authorization network default group radius! 使用802.1x協(xié)議去動態(tài)分配vlan的話,上邊的這句命令一定要有dot1x system-auth-control! 允許802.1x port-based 認證dot1x guest-vlan supplicant! 允許交換機在端口802.1x認證失敗后,指定vlan到guest-vlanradius-server host IP auth-port 1812 acct-port 1813 key Password! 指定radius服務器IP、端口號和進行交互的使用的密碼radius-server retry method reorder! 允許有多個radius服務器冗余切換radius-server timeout 10! 指定radius服務認證超時時間重點2:不同用戶安全組如何獲得動態(tài)VLAN地址?答:把預規(guī)劃好的所有VLAN配置到每臺接入交換機和無線AC控制器上,并在核心交換機中配置指向到DHCP服務器地址 。第二步:進入網(wǎng)絡端口下啟用802.1x配置interface GigabitEthernet1/0/46 switchport mode access ! dot1x指定vlan, switchport mode必須為access switchport voice vlan 195! dot1x指定語音vlan authentication event fail action authorize vlan 107! 認證失敗獲得隔離vlan authentication event no-response action authorize vlan 107! 認證無響應獲得隔離vlan authentication port-control auto! 端口認證控制 authentication timer inactivity 30! 認證響應超時 dot1x pae authenticator! 認證端口開啟2.NPS策略配置a.使用配置向導


“原創(chuàng)力文檔”前稱為“文檔投稿賺錢網(wǎng)”,本站為“文檔C2C交易模式”,即用戶上傳的文檔直接賣給用戶,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人所有【成交的100%】。原創(chuàng)力文檔是網(wǎng)絡服務平臺方,若您的權利被侵害,侵權客服QQ:3005833200 電話:19940600175 歡迎舉報,上傳者QQ群:784321556


1.《組網(wǎng)方案 企業(yè)組網(wǎng)方案》援引自互聯(lián)網(wǎng),旨在傳遞更多網(wǎng)絡信息知識,僅代表作者本人觀點,與本網(wǎng)站無關,侵刪請聯(lián)系頁腳下方聯(lián)系方式。

2.《組網(wǎng)方案 企業(yè)組網(wǎng)方案》僅供讀者參考,本網(wǎng)站未對該內容進行證實,對其原創(chuàng)性、真實性、完整性、及時性不作任何保證。

3.文章轉載時請保留本站內容來源地址,http://f99ss.com/jiaoyu/161837.html